20 år med computervirus

Virus har fulgt computeren de seneste 20 år , som en irriterende og destruktiv fætter, der dukker op, når det er mindst belejligt.

De første computervira dukkede op i Apple-computere i 1981 efter en række forsøg på at skabe programmer, som automatisk kunne uvikle sig og spredes uden menneskers hjælp eller viden. I virusens barndom var det ikke målet, at den skulle være destruktiv, man gik snarere efter bygge programmer, der kunne slette piratkopieret software efter et vist antal kopieringer.
Det viste sig hurtigt at være en vanskelig opgave at får vira til at spredes automatisk, og der gik nogle år inden noget skete.
I 1987 efter en række mindre udbrud af vira i store virksomheder og universiteter begyndte en tysk virus at sprede sig med lynets hast. Den hed Cascade og brugte et nyt trick til at skjule sig. Selve virusfilen var krypteret, så den ikke umiddelbart kunne læses. Ved siden af den lå en lille fil med krypteringskoden, som selvfølgelig ikke lignede en virus. Dette var blot en af mange muligheder for at maskere vira, som snart efter blev opfundet. Andre metoder var at lade programmet starte på en bestemt dato eller ved hvert fjerde brug af en boot-diskette.

Den trojanske hest
Herefter begyndte de trojanske heste at galopere ind i netværkets tidsalder. Bulletin Boards var blevet et meget populært sted for IT-interesserede omkring 1990. Her blev der udvekslet mange filer, og særligt populære var små spil og simple tekstbehandlingsprogrammer. Nogle af filerne var desværre vira, som gemte sig under navn som ”Donkey Kong” eller ”Space Invaders”.
Nogle typer var både maskerede, tidsbestemte og kunne springe fra program til program.
På det tidspunkt var det normalt at computeres styresystem lå på en diskette og hovedparten af udveksling af filer foregik manuelt ved at kopiere disketter. På den måde kunne vira sprede sig hurtigt. I 1992 blev en anden teknik populær. Den kaldes at polymorfe en virus. Det betyder, at virusen hele tiden omskriver nogle dele af sin egen programkode og måske sit eget filnavn, så den ikke kan findes af antivirussoftwaren. Samme år kom blev det første virusprogram illegalt distribueret. Det kunne med avancerede funktioner hjælpe svage sjæle til at udvikler deres helt egen virus-type. Det hed Virus Creation Laboratory, og det fik hurtigt følge af andre programmer, som kunne lave alle virustyper om til polymorfe vira.

Virus bliver smartere
Efterhånden som computere blev mere almindelige og kampen mellem de gode og de onde programmører tog fart fandt nogle på at lave boot-vira. Det er en type virus som lægger sig i computerens boot-filer, der er en mindre fil der indeholder oplysninger om, hvordan styresystemet skal indlæses. Det gav vira mulighed for at operere uafhængigt af enkelte programmer og være aktive hele tiden mens computeren er tændt. På universiteter og i store virksomheder spredtes boot-vira som ildstorme. Boot-vira blev det, der for alvor gjorde verden opmærksom på virusproblemet.
Denne type vira er næsten udryddet, fordi man ikke længere bruger disketter til at boote computere med og fordi næsten alle nyere computeres bios har en automatisk sikkerhedsforanstaltning indbygget.

I 1996 da Winows95 var blevet udbredt over hele verdene, og Internettet var noget alle kendte, begyndte de første makrovira at sprede sig. Det skete særligt i Word- og Exell-programmerne. To år efter kom den frygtede Back Orifice virus, som tillod en hacker at tage kontrol over en computer gennem Internettet.

E-mail vira
De største udbrud af e-mail virus er fra 1999 (Melissa) og 2000 (ILOVEYOU). Melissa spredte sig gennem word-filer sendt med e-mails over Internettet. Når det vedhæftede dokument blev åbnet, så spredte viraen sig til mailprogrammet og sørgede for at sende sig dokumentet og dermed sig selv til de første 50 personer i mailarkivet. Den sørgede også for, at modtagerens navn stod i meddelelsesfeltet med en venlig hilsen. Derfor åbnede millioner af mailbrugere filen i tillid til at den var sendt af en ven. Virusen var egentlig ikke destruktiv, men den skabte kaos på mange servere fordi så mange emails blev udvekslet. Melissa blev den hurtigst spredte virus nogensinde.
Året efter kom ILOVEYOU – også kaldet Loveletter. Den var endnu mere simpel, idet den bare var en programstump, som sendte sig selv videre til alle andre i mailarkivet, når den blev åbnet.
Begge vira benyttede sig af Visual Basic for Applications (VBA). Det er et komplet programmeringssprog, der kan sætte programmer i stand til at sende mails eller automatisk ændre filer. Det indeholder også en farlig auto-execute funktion, der betyder, at det kan starte en uvelkommen proces, hver gang eksempelvis Word åbnes.
Word indeholder en funktion, der effektivt fjerner denne type vira under ”Tools – Options”, men de fleste benytter den ikke. Det var årsagen til, at Melissa kunne spredes så hurtigt. ILOVEYOU fik sin storhedstid, fordi folk simpelthen var nysgerrige ikke kunne lade være med at klikke på den vedhæftede fil.

Nye vira
Det seneste globale angreb kom fra virusen W32/Nimda-A. Den er særlig ondskabsfuld, fordi den udnytter flere huller i både mail-programmer og webbrowsere. Hvis den spredes gennem e-mails, så er det gennem en vedhæftet fil, der hedder README.EXE. (Den vågne computerbruger vil allerede her kunne se, at der noget galt, fordi en Readme-fil normalt er en tekstfil med endelsen .doc eller .txt. og ikke er et program med endelsen .exe.) Filen sender sig så videre til alle andre i mail-kartoteket.
-Men ikke nok med det. Filen gemmer sig også i Windows-directory under navnet load.exe og riched20.dll. Begge filer har automatisk sat deres atributter til ”hidden”, så man ikke umiddelbart kan se dem ved at lede i mapperne. Herfra arbejder virusen sig ned i System.ini-filen, og det betyder at den automatisk starter sammen med Windows. Her kan den begynde at lave en masse ubehagelige ting. Hvis den er på en Internetserver, så leder den efter filer som Index.html, main.htm, default.htm. og lignende startsider på websites. Den tilføjer så en lille kode java-script til websitet, der tillader, at filen readme.eml bliver downloadet til en sagesløs websurfers computer. På den måde spredes den endnu engagn. Midlet mod denne type vira er at vælge et højt sikkerhedsniveau under internetindstillinger i kontrolpanelet og have de seneste sikkerhedsopdateringer til alt internetsoftware.

Virus sletter antivirus-software!
Den seneste virus inden denne artikel bliver skrevet færdig er W32@Vote@mm. Den er bygget på samme måde som Nimda-A, men kan lidt mere. De websites, som bliver inficeret, får vedhæftet en lille fil der hedder TimeUpDate.exe. Når den bliver downloadet, så leder den efter en lang liste af filer, som alle er antivirus software. Det kan være C:\PC-Cillin97, C:\program files\Norton Antivirus og andre. Finder den nogle af disse programmerk, så bliver de slettet uden varsel. Desuden lægger den sig i C:\autoexe.bat under navnet: ”echo y format C:\. Det betyder på godt dansk, at computerens harddisk bliver slettet ved næste genstart. Den er ovenikøbet så smart, at den automatisk lukker Windows for at gennemtvinge en genstart. Denne virus spreder sig gennem en e-mail ved navn: Peace beTween AmeriCa And IsLam.
De sikre råd mod denne og andre vira er at passe på makroer i Windows, bruge antivrus og firewall samt at undlade at åbne programmer fra Internettet.